Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Hikit
General

El backdoor “Hikit” fue encontrado hace poco por los expertos de Mandiant, el cual le permite a un atacante ejecutar una Shell remota, abrir conexiones usando un proxy SOCKS5 o transferir archivos desde o a un servidor remoto. Además de esto cuenta con un mecanismo para ocultar su operación a través de un rootkit que se instala a si mismo como un servicio, lo que le permite (de manera secreta) monitorear paquetes, interceptar datos de comando y control, etc.

Haciendo uso del servicio de Windows MS DTC Distributed Transaction Coordinator Service se inicializa la dll (oci.dll) la cual extrae de su sección resources los siguientes archivos:

  1. El rootkit: driver w7fw.sys el cual funciona para las arquitecturas de 32 o 64 bits.
  2. Archivos de configuración requeridos por el driver: w7fw.inf y w7fw.cat
  3. El certificado digital: W7fw.cat

File: oci.dll
MD5: d3fb2b78fd7815878a70eac35f2945df
SHA256: aa4b2b448a5e246888304be51ef9a65a11a53bab7899bc1b56e4fc20e1b1fd9f
SHA1: 8d6292bd0abaaf3cf8c162d8c6bf7ec16a5ffba7
File size: 256.5 KB ( 262656 bytes )
File type: Win32 DLL
Detection ratio: 36 / 46
Analysis date: 2012-12-07 03:23:27 UTC


Algunos de los strings encontrados en la dll:

Ver archivo completo

00000001CB5F   00001001E55F      0    !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]
00000001EC70   000010020670      0   password
00000001EC7C   00001002067C      0   GET /%s HTTP/1.1
00000001ED04   000010020704      0   .welcome.
00000001EDA4   0000100207A4      0   .. ..
00000001F240   000010020C40      0   SYSTEM\WPA\PnP
00000001F258   000010020C58      0   SOFTWARE\Microsoft\Driver Signing
00000001F27C   000010020C7C      0   Policy
00000001F284   000010020C84      0   SOFTWARE\Microsoft\Non-Driver Signing
00000001F2AC   000010020CAC      0   SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
00000001F2DC   000010020CDC      0   PrivateHash
00000001F2F8   000010020CF8      0   bad exception
00000001F350   000010020D50      0   RSDSL
00000001F368   000010020D68      0   h:\JmVodServer\hikit\bin32\RServer.pdb

00000002210D   00001002730D      0   [ControlFlags]
00000002211F   00001002731F      0   ;=========================================================================
00000002216E   00001002736E      0   ;=========================================================================
0000000221BA   0000100273BA      0   ;For Win2K
0000000221C8   0000100273C8      0   [MSFT]
0000000221D0   0000100273D0      0   %W7fw_Desc% = W7fw.ndi, ms_W7fw
0000000221F4   0000100273F4      0   ;For WinXP and later
00000002220C   00001002740C      0   [MSFT.NTx86]
00000002221A   00001002741A      0   %W7fw_Desc% = W7fw.ndi, ms_W7fw
00000002223D   00001002743D      0   [MSFT.NTia64]
00000002224C   00001002744C      0   %W7fw_Desc% = W7fw.ndi, ms_W7fw
00000002226F   00001002746F      0   [MSFT.NTamd64]
00000002227F   00001002747F      0   %W7fw_Desc% = W7fw.ndi, ms_W7fw
0000000222A4   0000100274A4      0   [W7fw.ndi]
0000000222B0   0000100274B0      0   AddReg          = W7fw.ndi.AddReg, W7fw.AddReg
0000000222E2   0000100274E2      0   ;  NCF_FILTER | NCF_NDIS_PROTOCOL !--Filter Specific--!!
00000002231C   00001002751C      0   ;Characteristics = 0x00004410
00000002233D   00001002753D      0   ; NCF_FILTER | NCF_NDIS_PROTOCOL | NCF_HIDDEN
00000002236C   00001002756C      0   Characteristics = 0x00004418
00000002238C   00001002758C      0   ; NCF_FILTER | NCF_NDIS_PROTOCOL | NCF_HIDDEN | NCF_NOT_USER_REMOVABLE
0000000223D4   0000100275D4      0   ;Characteristics = 0x00004438
0000000223F5   0000100275F5      0   CopyFiles       = W7fw.Files.Sys
000000022417   000010027617      0   CopyInf         = netsf_m.inf
000000022438   000010027638      0   [W7fw.ndi.Remove]
00000002244B   00001002764B      0   DelFiles = W7fw.Files.Sys
000000022468   000010027668      0   [W7fw.ndi.Services]
00000002247D   00001002767D      0   AddService = W7fw,, W7fw.AddService
0000000224A4   0000100276A4      0   [W7fw.AddService]
0000000224B7   0000100276B7      0   DisplayName    = %W7fwService_Desc%
0000000224DC   0000100276DC      0   ServiceType    = 1 ;SERVICE_KERNEL_DRIVER
000000022507   000010027707      0   StartType      = 3 ;SERVICE_DEMAND_START
000000022531   000010027731      0   ErrorControl   = 1 ;SERVICE_ERROR_NORMAL
00000002255B   00001002775B      0   ServiceBinary  = %12%\W7fw.sys
00000002257B   00001002777B      0   AddReg         = W7fw.AddService.AddReg
0000000225A8   0000100277A8      0   [W7fw.AddService.AddReg]

 

Información del archivo en ejecución

Para realizar la prueba primero copie la dll en la carpeta System32 de Windows y posteriormente inicie el servicio Coordinador de transacciones distribuidas de Microsoft msdtc.exe.

Se puede observar la creación de los archivos por parte del servicio:

 


Al revisar en detalle los exports de la dll encontré una función interesante llamada DllRegisterServer, al ejecutarla por medio de rundll32.exe se pudo identificar la creación de dos nuevos servicios ocultos (W7fw y W7fwMP) los cuales ejecutan directamente el driver y lo inicializan cada vez que se inicie el sistema, además de varias peticiones a un servidor en internet para descargar un nuevo certificado digital.


 

Modificaciones en el registro de Windows


Ver archivo completo

HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0012
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0012\Linkage
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0012\Ndi
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0013
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0013\Linkage
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0013\Ndi
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0014
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0014\Linkage
HKLM\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0014\Ndi
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{21B6AAFB-AFEA-4DA6-856B-1EA3BE211CDF}
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{21B6AAFB-AFEA-4DA6-856B-1EA3BE211CDF}\Control
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}\Control
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{D7EBB65A-C4D4-4D85-A977-D3355238A784}
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{D7EBB65A-C4D4-4D85-A977-D3355238A784}\Control
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#MS_W7FWMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}\Control
HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8399843F-0671-48FC-BCC1-715AB1B35071}
HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8399843F-0671-48FC-BCC1-715AB1B35071}\Ndi
HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8399843F-0671-48FC-BCC1-715AB1B35071}\Ndi\Interfaces
HKLM\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{8399843F-0671-48FC-BCC1-715AB1B35071}\Parameters
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0000\Device Parameters
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0000\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0000\Control
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0001
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0001\Device Parameters
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0001\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0001\Control
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0002
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0002\Device Parameters
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0002\LogConf
HKLM\SYSTEM\ControlSet001\Enum\Root\MS_W7FWMP\0002\Control

 

Enlaces


http://forums.malwarebytes.org/index.php?showtopic=114700
https://www.mandiant.com/blog/hikit-rootkit-advanced-persistent-attack-techniques-part-1-2/
https://www.mandiant.com/blog/hikit-rootkit-advanced-persistent-attack-techniques-part-2/
http://www.symantec.com/connect/blogs/backdoorhikit-new-advanced-persistent-threat

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos